RHEL, CentOS und weitere Linux-Distributionen: "BootHole"-Fixes blockieren Grub2 Update
(Bild: rootstock / Shutterstock.com)
Besser nicht einspielen: Updates gegen die BootHole-Sicherheitslücken für RHEL, CentOS, Debian und Ubuntu verursachen auf einigen Systemen schwere Probleme.
Eigentlich sollten zwei von den Red Hat Enterprise Linux (RHEL)-Entwicklern bereitgestellte Sicherheitsupdates die vergangene Woche entdeckte Grub2-Sicherheitslücke "BootHole" schließen. Nun hat sich allerdings herausgestellt, dass die Updates RHSA_2020:3216 und RHSA_2020:3217 ihrerseits Schaden anrichten können: Offenbar können viele Nutzer nach der Anwendung überhaupt nicht mehr booten, das Grub-Menü lädt nicht.
Dasselbe Problem besteht auch beim kostenlosen RHEL-Klon CentOS. Wie sich etwas später herausstellte, besteht es mitunter allerdings auch auf Debian- und Ubuntu-Systemen. Für die verschiedenen Distributionen stehen aktualisierte Sicherheitshinweise und teils auch gefixte Pakete bereit.
Die BootHole-Bugs habe wir in einem separaten Artikel beschrieben:
RHSA_2020:3216 und RHSA_2020:3217 nicht einspielen!
Das Red Hat-Team hat einen Sicherheitshinweis zu den fehlerhaften Updates [1] veröffentlicht. Darin wird das Problem für die RHEL-Versionen 7.8 und 8.2 bestätigt. Lediglich "potenziell betroffen" (Problem nicht bestätigt) seien die Versionen 7.9 und 8.1 EUS. Das Problem tritt bei RHEL grundsätzlich nur im UEFI- und nicht im klassischen BIOS-Modus auf.
Update 03.08.20, 14:00 + 14:15:
Red Hat hat aktualisierte Pakete des Secure-Boot-Loaders Shim bereitgestellt und den Sicherheitshinweis noch einmal aktualisiert. Dem dortigen Kommentarbereich ist zu entnehmen, dass Nutzer (evtl. zunächst auf einem Testsystem) nun unbesorgt updaten können.
Aktualisierte Grub-Pakete seien nicht mehr zu erwarten: laut Entwickler Renaud Metrich habe das Problem in fehlerhaften Shim-Paketen bestanden. Dementsprechend umfasst der Sicherheitshinweis nun zusätzlich auch "Diagnostic steps" zum Aufspüren der problematischen shim-Packages [2].
- RHEL 7.8: RHBA-2020:3265 [3]
- RHEL 8.0.0: RHBA-2020:3264 [4]
- RHEL 8.1.0: RHBA-2020:3263 [5]
- RHEL 8.2.0: RHBA-2020:3262 [6]
(Bild: access.redhat.com/ [7])
Auch für CentOS gibt es aktualisierte shim-Pakete in Gestalt von shim-x64-15-8.el7_8.x86_64.rpm (CentOS 7) [8] beziehungsweise shim-x64-15-15.el8_2.x86_64.rpm (CentOS 8) [9].
Fixes und Hinweise für Debian und Ubuntu
Anders als bei RHEL/CentOS scheinen die Boot-Probleme auf Debian- und Ubuntu-Systemen, wenn überhaupt, dann lediglich bei der Verwendung von BIOS sowie beim Dual-Boot (Linux/Windows) aufzutreten. Für Debian Stable (Buster und Sid) beseitigt das aktualisierte Grub2-Paket 2.02+dfsg1-20+deb10u2 den Fehler.
Das Ubuntu-Team hat seinen BootHole-Artikel um einen Troubleshooting-Abschnitt erweitert [10]. Auch hier wird im, so heißt es im Text, "unwahrscheinlichen" Fall von Boot-Problemen nach Installation der zuvor veröffentlichten Grub2-Aktualisierungen zu einem Paket-Downgrade geraten. Ansonsten gilt es, nach neuen, reparierten Packages Ausschau zu halten. (ovw [11])
URL dieses Artikels:
https://www.heise.de/-4861288
Links in diesem Artikel:
[1] https://access.redhat.com/solutions/5272311
[2] https://access.redhat.com/solutions/5272311
[3] https://access.redhat.com/errata/RHBA-2020:3265
[4] https://access.redhat.com/errata/RHBA-2020:3265
[5] https://access.redhat.com/errata/RHBA-2020:3263
[6] https://access.redhat.com/errata/RHBA-2020:3262
[7] https://access.redhat.com/solutions/5272311
[8] https://centos.pkgs.org/7/centos-updates-x86_64/shim-x64-15-8.el7.x86_64.rpm.html
[9] https://centos.pkgs.org/8/centos-baseos-x86_64/shim-x64-15-15.el8_2.x86_64.rpm.html
[10] https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass#Recovery
[11] mailto:olivia.von.westernhagen@gmail.com
Copyright © 2020 Heise Medien